説明

管理システム監査の目的は、組織の管理システムのパフォーマンスを評価することです。
マネジメント システム監査は、企業の全体的な活動とパフォーマンスを独立して体系的に分析および評価することです1。これは、企業の効率、機能、成果、および業績を判断するために使用される貴重なツールです1。マネジメント システム監査は、既存の ISO 規格2 で設定された要件を含む (ただし、これらに限定されない) さまざまな監査基準に照らして実施できます。
管理システム監査のガイドラインである ISO 19011:2018 によれば、監査の目的は、監査人が監査目標2 に関連した監査結論を提供できるようにすることです。監査目標は監査クライアントによって定義され、監査基準に対する監査対象の管理システムの適合または不適合の程度の判定、組織が適用される法定、規制、契約上の要件を満たすことを保証するための監査対象の管理システムの能力の評価、監査対象の管理システムの潜在的な改善機会の特定、監査対象の管理システムの継続的な改善の促進などが含まれます。
したがって、正解は「評価」です。これは、管理システム監査の目的を最もよく表しているからです。その他の選択肢は、十分に具体的でなかったり、監査の意図した結果を反映していないため、不正解です。たとえば、「改善」は、監査自体が管理システムのパフォーマンスを向上させることを意味しますが、これは必ずしも真実ではありません。「管理」は、監査が管理システムを制御または指示することを意味しますが、これは監査の役割ではありません。「調査」は、監査が管理システムに関する新しい知識や情報を生成することを意味しますが、これは監査の主な目的ではありません。

ISO/IEC 27001:2022 の 6.2 項によれば、情報セキュリティ目標とは、組織が情報セキュリティ管理システム (ISMS) で達成しようとする具体的な結果です。この規格では、情報セキュリティ目標が以下の基準を満たす必要があると規定されています。
* 適切に伝達される必要がある (A): 組織は、関係する内部および外部関係者に情報セキュリティの目的と、それを達成するための役割と責任について確実に知らせる必要があります。これにより、情報セキュリティに対する認識、コミットメント、説明責任が高まります。この基準は、ISO/IEC 27001:2022 の条項 6.2.2 に関連しています。
* 文書化された情報として利用可能である必要があります (B): 組織は、情報セキュリティ目標に関する文書化された情報 (範囲、レベル、指標、および時間枠を含む) を維持し、保持する必要があります。これにより、情報セキュリティの証拠、追跡可能性、および一貫性を提供できます。この基準は、ISO/IEC 27001:2022 の条項 6.2.1 に関連しています。
* 情報セキュリティポリシーと一致している必要があります (G): 組織は、情報セキュリティの目的が情報セキュリティポリシーと一致していることを確認する必要があります。情報セキュリティポリシーは、組織の情報セキュリティに対する意図と方向性を最高レベルで表明したものです。これにより、組織の戦略目標と状況をサポートできます。この基準は、ISO/IEC の条項 5.2 に関連しています。
27001:2022。
* 達成可能でなければなりません (H): 組織は、利用可能なリソース、機能、制約を考慮して、情報セキュリティの目標が現実的かつ達成可能であることを保証する必要があります。これにより、非現実的または実現不可能な期待を設定することを回避し、情報セキュリティの進捗状況とパフォーマンスを監視および測定することができます。この基準は、ISO/IEC 27001:2022 の条項 6.2.1 に関連しています。
参考文献:
* ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件1
* PECB候補者ハンドブック ISO/IEC 27001 主任監査人2
* ISO 27001:2022 主任監査員 - PECB3
* ISO 27001:2022 認定 ISMS 主任監査人 - Jisc4
* ISO/IEC 27001:2022 主任審査員移行トレーニングコース5
* ISO 27001 - 情報セキュリティ主任監査人コース - PwC トレーニング アカデミー6

マネジメントシステムの監査に関するガイドラインを提供する ISO 19011:2018 によれば、監査プログラムとは、特定の期間に計画され、特定の目的に向けた 1 つ以上の監査のセットです1。監査プログラムを管理する個人は、組織のポリシーと目標に従って監査プログラムを確立、実装、維持する責任があります1。これには、戦略的方向性、リスク、機会に基づいて監査プログラムの範囲を定義すること、目的、範囲、基準を定義して監査プログラムを確立すること、監査プログラムに必要なリソースを決定すること、有能な監査人を選定し、適切な監査に割り当てること、個々の監査の目的、範囲、基準を定義すること、個々の監査の計画を定義すること、監査結果の文書化された情報を保持すること、監査プログラムのパフォーマンスをレビューして改善することが含まれます1。したがって、これら 6 つのアクションは、監査プログラムを管理する個人の責任の一部です。もう 1 つのオプション、つまり監査中に監査対象者とコミュニケーションをとることは、監査プログラムを管理する個人の責任ではなく、監査チーム リーダーの責任です1。参照: ISO 19011:2018 - マネジメントシステムの監査に関するガイドライン

これは軽微な不適合です。バックアップ頻度が会社の毎日のバックアップ手順に従わず、月に 1 回行われていることは、確立されたプロセスからの逸脱を表していますが、情報セキュリティ管理システムの有効性に直ちに影響を与えることはないかもしれません。
参照: ISO/IEC 27001:2013、条項 A.12.3 (バックアップ)